华为物联网终端安全技术规范

dull

前言 物联网广泛应用在农业、工业、卫生、城市管理等领域，与一般信息系统相比，物联网信息系统中使用的终端具有安全防护水平参差不齐、数量众多、种类繁杂、分布区域广、部署环境多样、安全功能受限等特点，这些特点使得终端应用面临软硬件故障、物理攻击、通信不正常、信息泄露或篡改、非授权访问或恶意控制等安全风险。为了提高物联网终端应用的安全防护水平，本技术规范针对终端应用提出了通用的安全技术要求。 本文主要面向：  华为物联网终端合作伙伴，帮助合作伙伴提高物联网终端的安全性。  华为物联网终端生态合作团队，帮助在生态合作伙伴选择时把关安全要求。 本规范主要基于中国国家标准《信息安全技术 物联网终端应用安全技术要求》（草稿）进行修改，并参考了中国国家标准《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）、《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240-2008）、《信息安全技术 网络安全等级保护安全设计技术要求 第4部分：物联网安全要求》(草稿)。后续版本将进一步参考国际上物联网相关标准对本规范进行完善。 为了适应华为业务特点，与《信息安全技术 物联网终端应用安全技术要求》相比，本规范在安全要求进行了适当的增强，包括： a) 将原增强级安全要求中的部分内容（尤其是关于数据安全的部分）纳入到基础级安全要求。 b) 在基础级安全要求中增加了防止网络攻击方面的要求，避免少数终端被控制后对整个网络产生影响。 c) 在基础级安全要求中增加了对大规模广泛部署的终端的安全升级的要求，防止这些终端出现安全漏洞后被大规模控制，如美国物联网终端DDoS攻击情形。 d) 在增强级安全要求中增加了对特别重要的信息进行TPM/TEE芯片级技术保护要求。 本规范中物联网终端指的是能对物进行信息采集和/或执行操作，并能联网进行通信的装置，不包括物联网网关。本文中所述物联网终端按照其自身具备的数据处理能力，大致可分为三类： 1）不具备自身数据处理能力的物联网终端：这类终端通常只进行传感数据采集、转换和上传，不具备信息处理能力，通常自身不具备安全防护能力，但为攻击者提供的攻击途径也很少，比如工业现场中的0-20mA传感器、普通流量计、普通水表、普通气表等； 2）不具备操作系统的物联网终端：这类终端通常集成有采集和/或执行功能模块、中央处理功能模块和网络通信功能模块，通常安全防护功能有限，但为攻击者提供的攻击途径也有限，比如居民智能水电气表、车检器、环境监测器、路灯控制器等； 3）具备操作系统的物联网终端：这类终端通常为信息处理能力较强，且自带操作系统的智能物联网终端，通常具有较强的安全防护功能和信息处理能力，但也为攻击者提供了较多的攻击途径，比如平安城市摄像头，车联网OBD、T-Box、ECU，工业现场的控制网关，手持智能终端、手机或pad等。 本文适用于通用的各种类型的终端，针对特定类型的终端（如水表）的特定要求，在相应的章节中会特别的进行标注。 本文技术规范要求大部分针对终端本身，对网络接入和平台接入上仅提出一些基本的安全技术要求，当这些终端对接我司网络及平台时，具体的接口技术要求（如平台的认证鉴权接口及NB-IoT的3GPP AKA接口）请参考网络和平台对接口的具体说明。

游客，如果您要查看本帖隐藏内容请回复

hope123

本文中所述物联网终端按照其自身具备的数据处理能力，大致可分为三类： 1）不具备自身数据处理能力的物联网终端：这类终端通常只进行传感数据采集、转换和上传，不具备信息处理能力，通常自身不具备安全防护能力，但为攻击者提供的攻击途径也很少，比如工业现场中的0-20mA传感器、普通流量计、普通水表、普通气表等； 2）不具备操作系统的物联网终端：这类终端通常集成有采集和/或执行功能模块、中央处理功能模块和网络通信功能模块，通常安全防护功能有限，但为攻击者提供的攻击途径也有限，比如居民智能水电气表、车检器、环境监测器、路灯控制器等； 3）具备操作系统的物联网终端：这类终端通常为信息处理能力较强，且自带操作系统的智能物联网终端，通常具有较强的安全防护功能和信息处理能力，但也为攻击者提供了较多的攻击途径，比如平安城市摄像头，车联网OBD、T-Box、ECU，工业现场的控制网关，手持智能终端、手机或pad等。 本文适用于通用的各种类型的终端，针对特定类型的终端（如水表）的特定要求，在相应的章节中会特别的进行标注。 本文技术规范要求大部分针对终端本身，对网络接入和平台接入上仅提出一些基本的安全技术要求，当这些终端对接我司网络及平台时，具体的接口技术要求（如平台的认证鉴权接口及NB-IoT的3GPP AKA接口）请参考网络和平台对接口的具体说明。

dhhtmqh

看看，学习一下

and_tt

take a look ,thks